Multi-Factor Authentication (MFA) -todennusta käytetään lisäämään toinen suojakerros IAM-tileihin/-identiteeteihin. AWS:n avulla käyttäjät voivat lisätä MFA:ta tileihinsä resurssien suojaamiseksi entisestään. AWS CLI on toinen tapa hallita AWS-resursseja, jotka voidaan myös suojata MFA:lla.
Tämä opas selittää, kuinka MFA:ta käytetään AWS CLI:n kanssa.
Kuinka käyttää MFA:ta AWS CLI:n kanssa?
Siirry Identity and Access Management (IAM) -sivulle AWS-konsolista ja napsauta ' Käyttäjät ”sivu:
Valitse profiili klikkaamalla sen nimeä:
MFA:n profiilin on oltava käytössä:
Vieraile terminaalissa paikalliselta järjestelmältäsi ja konfiguroida AWS CLI:
aws configure --profile demo
Käytä AWS CLI -komentoa määritysten vahvistamiseen:
aws s3 ls -- profiilin demoYllä olevan komennon suorittaminen näytti S3-säihön nimen, joka osoittaa, että kokoonpano on oikea:
Palaa IAM-käyttäjät -sivulle ja napsauta ' Käyttöoikeudet ”-osio:
Laajenna käyttöoikeusosiossa ' Lisää käyttöoikeudet ' -valikko ja napsauta ' Luo sisäinen käytäntö ”-painike:
Liitä seuraava koodi JSON-osioon:
{'Versio': '2012-10-17',
'lausunto': [
{
'Sid': 'MustBe SignedInWithMFA',
'Effect': 'Estä',
'NotAction': [
'iam:CreateVirtualMFADevice',
'iam:DeleteVirtualMFADevice',
'already:ListVirtualMFADevices',
'iam:EnableMFADevice',
'jam:ResyncMFADevice',
'iam:ListAccountAliases',
'already:ListUsers',
'iam:ListSSHPublicKeys',
'iam:ListAccessKeys',
'iam:ListServiceSpecificCredentials',
'already:ListMFADevices',
'iam:GetAccountSummary',
'sts:GetSessionToken'
],
'Resurssi': '*',
'Kunto': {
'BoolIfExists': {
'aws:MultiFactorAuthPresent': 'false'
}
}
}
]
}
Valitse JSON-välilehti ja liitä yllä oleva koodi editoriin. Klikkaa ' Tarkista käytäntö ”-painike:
Kirjoita käytännön nimi:
Vieritä sivun alaosaan ja napsauta ' Luo käytäntö ”-painike:
Palaa terminaaliin ja tarkista uudelleen AWS CLI -komento:
aws s3 ls -- profiilin demoNyt komennon suoritus näyttää ' Pääsy evätty ”virhe:
Kopioi ARN kohdasta ' Käyttäjät ” MFA-tili:
Seuraava on komennon syntaksi MFA-tilin valtuustietojen saamiseksi:
aws sts get-session-token --sarjanumero arn-of-the-mfa-device --token-code code-from-tokenMuuta ' arn-of-the-mfa-laite ', jonka tunniste on kopioitu AWS IAM -hallintapaneelista ja muuta' koodi-from-tunnus ” MFA-sovelluksen koodilla:
aws sts get-session-token --sarjanumero arn:aws:iam::*******94723:mfa/Authenticator --token-koodi 265291Kopioi toimitetut tunnistetiedot mille tahansa editorille, jota käytetään myöhemmin valtuustietotiedostossa:
Käytä seuraavaa komentoa muokataksesi AWS-tunnistetiedostoa:
nano ~/.aws/credentials
Lisää seuraava koodi valtuustietotiedostoon:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = Salainen avain
aws_session_token = Istuntotunnus
Muuta AccessKey, SecretKey ja SessionToken ' AccessKeyId ”, “ Secret AccessId ”, ja ” SessionToken ', joka on annettu edellisessä vaiheessa:
[mfa]aws_access_key_id = AccessKey
aws_secret_access_key = t/SecretKey
aws_session_token = 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
Tarkista lisätyt tunnistetiedot seuraavalla komennolla:
lisää .aws/credentials
Käytä AWS CLI -komentoa ' mfa 'profiili:
aws s3 ls --profiili mfaYllä olevan komennon suorittaminen onnistuneesti viittaa siihen, että MFA-profiili on lisätty onnistuneesti:
Tämä koskee MFA:n käyttöä AWS CLI:n kanssa.
Johtopäätös
Jos haluat käyttää MFA:ta AWS CLI:n kanssa, määritä MFA IAM-käyttäjälle ja määritä se sitten päätelaitteessa. Lisää sen jälkeen käyttäjälle sisäinen käytäntö, jotta hän voi käyttää vain tiettyjä komentoja profiilin kautta. Kun tämä on tehty, hanki MFA-tunnistetiedot ja päivitä ne AWS-tunnistetiedostoon. Käytä jälleen AWS CLI -komentoja MFA-profiilin kanssa AWS-resurssien hallintaan. Tässä oppaassa on selitetty, kuinka MFA:ta käytetään AWS CLI:n kanssa.